En mars 2018, Direct Energie était mis en demeure par la CNIL à propos des données personnelles liées aux compteurs Linky. Ce mardi 11 février, c’est au tour d’EDF et d’Engie d’être dans le viseur de la CNIL, les deux entreprises ne respecteraient pas le RGPD. Elles ont maintenant 3 mois pour s’accorder avec la loi.
Les entreprises enfreignent le RGPD avec les compteurs Linky
La CNIL vient de prendre la décision de mettre en demeure EDF et Engie concernant les compteurs Linky. Elle constate deux manquements de leurs parts. Il y a dans un premier temps l’absence de demande de consentement des utilisateurs, celui-ci “n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure”.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Dans un second temps, la CNIL reproche aux deux acteurs la durée de conservation des données qu’elle juge trop longue. EDF ne prévoit aucune procédure d’archivage des données suite à des contrats terminés, mais surtout elle conserve les données durant les 5 années qui suivent la fin du contrat. Dans le cas d’Engie, la durée de conservation des données est de 3 ans après la résiliation du contrat, et 8 ans en phase d’archivage intermédiaire.
La CNIL estime que ces durées de conservations sont trop longues, elles devraient atteindre au maximum 3 ans seulement.
Un délai de trois mois pour rentrer dans les rangs
Les compteurs Linky ne cesseront visiblement jamais de faire parler d’eux. En octobre dernier, une étude était réalisée à leurs sujets montrant que les ondes qu’ils émettent sont très loin des limites autorisées. Aujourd’hui, c’est la mise en demeure de la CNIL qui les remet sous le feu des projecteurs.
Concrètement, la CNIL reproche aux deux entreprises de relever des données dites fines, cela inclut notamment les heures de lever et de coucher des habitants, leurs périodes d’absences, mais également le nombre de personnes présentes au domicile. Des données qui relèvent de la vie privée.
La commission laisse désormais trois mois aux deux entreprises pour régulariser leur situation et se conformer au RGPD, sans quoi des poursuites pourront être entamées à leur encontre et cela pourrait alors aboutir à des sanctions.